ฉันจะแก้ไข RHEL 4 สำหรับช่องโหว่ bash ใน CVE-2014-6271 และ CVE-2014-7169 ได้อย่างไร

กลไกสำหรับการเรียกใช้รหัสระยะไกลผ่าน Bash ได้รับการรายงานอย่างกว้างขวางเมื่อวานนี้และวันนี้ (24 กันยายน 2014) http://seclists.org/oss-sec/2014/q3/650รายงานว่าเป็น CVE-2014-7169 หรือ CVE-2014 -6271

ด้วยเหตุผลที่โง่เกินกว่าที่ฉันจะอธิบายในที่สาธารณะฉันต้องรับผิดชอบต่อเซิร์ฟเวอร์ที่ใช้ RHEL 4 และไม่มีการสมัครรับข้อมูลอัปเดต ฉันสามารถสร้างโคลนเพื่อทดสอบสิ่งนี้ แต่ฉันหวังว่าบางคนจะมีคำตอบโดยตรง

1. มี / bin / bash จาก Centos 4 ได้รับการติดตั้งหรือไม่?
2. ฉันสามารถต่อยอด Centos 4 / bin / bash เข้ากับระบบ RHEL ของฉันเป็นวิธีแก้ปัญหาที่จะซื้อฉันเป็นเวลาหลายสัปดาห์ได้หรือไม่? (ฉันต้องการจนถึง 10 ธันวาคม)

Oracle จัดหามาให้โดย patch สำหรับ el4:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

มันเป็น RPM src rpmbuildคุณต้องรวบรวมแล้ว

หรือใช้ลิงค์นี้เพื่อหลีกเลี่ยงการสร้าง

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

ฉันทดสอบด้วยระบบ 4.9 i386 ผ่านการทดสอบการหาประโยชน์ที่ฉันมี (เท็ด)

ฉันต้องแก้ไขเซิร์ฟเวอร์ CentOS 4.9 เก่าดังนั้นฉันจึงดึง RPM ของแหล่งที่มาล่าสุดจาก Red Hat FTP และเพิ่มแพตช์อัปสตรีมจาก GNU FTP ขั้นตอนด้านล่าง:

ก่อนอื่นให้ทำตามขั้นตอน "ตั้งค่า" จากhttp://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

จากนั้นเรียกใช้คำสั่งต่อไปนี้จาก% _topdir ของคุณ:

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Patch SPECS / bash.spec ด้วย diff นี้:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

จากนั้นจบด้วยคำสั่งเหล่านี้:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

แก้ไข:ความคิดเห็นล่าสุดใน Red Hat Bugzilla บอกว่าแพทช์ไม่สมบูรณ์ ID ใหม่คือ CVE-2014-7169

แก้ไข:มีแพตช์เพิ่มเติมสองรายการจาก gnu.org ดังนั้นดาวน์โหลดเหล่านั้นลงในไดเรกทอรี SOURCES เดียวกัน:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

จากนั้นแก้ไข SPECS / bash.spec ดังต่อไปนี้ (การกำหนดหมายเลข "Release" เป็นทางเลือก):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

RHEL 4อยู่ในช่วง "ยืดอายุการใช้งาน" และการอัปเดตความปลอดภัยจะมีให้สำหรับลูกค้าที่ชำระเงินเท่านั้น CentOS 4ไม่ได้รับการสนับสนุนตั้งแต่เดือนมีนาคม 2012 ไม่มีการอัปเดตเพิ่มเติมสำหรับสิ่งนี้ตั้งแต่เวลานี้

ทางเลือกเดียวของคุณคือ

• ซื้อสัญญาการสนับสนุนกับ RedHat
• ลองสร้างแพ็คเกจของคุณเองสำหรับ Bash
• หรือตัวเลือกที่ชนะ: ออกจากเครื่องนี้และใช้ปัญหาความปลอดภัยนี้เป็นแรงจูงใจให้ทำเช่นนั้น

จิตวิญญาณชนิดชื่อลูอิสโรเซนธาลได้วางการปรับปรุงทุบตี RPMS สำหรับ CentOS 4 ขึ้นไปบนเขาFTP เซิร์ฟเวอร์ เชื่อกันว่า bash-3.0-27.3 รอบต่อนาที CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 และ CVE-2014-7187 เขามีREADMEพร้อมข้อมูลเพิ่มเติมและมีการพูดคุยกันในฟอรัม CentOS อย่าลืมสคริปต์การตรวจสอบ all-in-one ที่เป็นประโยชน์นี้ - โปรดสังเกตว่าการตรวจสอบ CVE-2014-7186 จะล้มเหลวโดยมีข้อผิดพลาดในการแบ่งกลุ่ม แต่ก็ยังเชื่อว่าไม่เป็นไรเพราะการทดสอบอื่น ๆ สำหรับช่องโหว่นั้น

ฉันจะบอกว่าทั้งทำตามคำแนะนำของ@ tstaylor7เพื่อสร้าง RPM ของคุณเองแก้ไขจากแหล่งหรือติดตั้งข้างต้น เมื่อฉันลองพวกเขาทั้งคู่มีผลลัพธ์เหมือนกันในสคริปต์ตรวจสอบนั้น